Sistema de prevención de intrusos

Introducción

  • El firewall de nueva generación de Cloud-Bricks integra el famoso sistema SNORT para realizar detección de amenazas y análisis de tráfico en tiempo real.
  • Este sistema permite detectar ataques de red e intentos de vulnerar la seguridad del cloud. Al trabajar en conjunto con el firewall del sistema SNORT permite generar alertas y bloquear ataques basado en un conjunto de reglas predeterminado. Trabaja de manera similar a un antivirus pero analizando el tráfico de la red.
  • El sistema de gestión de Cloud-Bricks también integra SNORBY, un sistema web fácil de usar que permite visualizar las alertas generadas por SNORT y monitorear la salud de su tráfico de red.


Reglas de Snort

El sistema de prevención de intrusos funciona a través de un conjunto de archivos de reglas que contienen las definiciones de vulnerabilidades y amenazas.  El sistema SNORT provee 3 conjuntos diferentes de reglas:

  1. Reglas de la comunidad: Disponibles de manera gratuita para cualquier persona.
  2. Reglas para usuarios registrados: Disponibles gratuitamente únicamente para usuarios registrados en snort.org
  3. Reglas para suscriptores: Reglas de alta seguridad con las últimas actualizaciones, únicamente disponibles bajo pago.

Cloud-Bricks viene con SNORT preconfigurado solamente con las reglas de la comunidad.

Si desea utilizar el conjunto de reglas para usuarios registrados, por favor regístrese en snort.org, obtenga su código oink y entre en contacto con nuestro equipo de soporte.

Si desea proteger su sistema con las últimas definiciones de vulnerabilidades, usted puede convertirse en un suscriptor de snort.  Nuestro equipo de soporte se encargará de configurar su sistema para utilizar el conjunto de reglas para suscriptores.

Instrucciones de uso

Para poder usar el sistema SNORBY se deben realizar algunos ajustes al ingresar por primera vez:

1- Para accesar la interfaz de SNORBY navegue hacia Firewall -> SNORT I.P.S en el menú izquierdo.


El email predeterminado es "snorby@snorby.org" y el password inicial es "snorby".
2- Aparece la pantalla principal de  SNORBY por favor preste atención al mensaje "The Snorby worker is not currently running" (El proceso de snorby no se encuentra en ejecución)

3- Debemos iniciar el proceso de Snorby, para ello haga clic sobre la opción "Worker & Job Queue" en el menú "Administration":


4- Una vez en la página "Worker & Job Queue" haga clic sobre la opción "Start Worker" en el menú "Worker Options".

Un ícono verde de "OK" confirmará que el proceso de Snorby ha sido iniciado.

5- Ahora es momento de configurar su email, password y zona horaria.
La página de configuración aparecerá al hacer clic sobre el enlace "Settings" en la parte superior derecha de la pantalla:

6- Por favor configure su dirección de correo electrónico y una contraseña fácil de recordar para accesar la interfaz de Snorby.
  • No olvide actualizar también su zona horaria ("Time Zone") para poder visualizar correctamente las alertas generadas por SNORT.
  • No olvide que si es la primera vez que realiza esta configuración la contraseña actual ("Current password") es "snorby".
  • Una vez que haya presionado el botón "Update Settings" hemos finalizado.
  • La interfaz de Snorby le mostrará cualquier alerta o amenaza detectada por el sistema SNORT IPS (Intrusion Prevention System).

Configurar su Máquina Virtual para usar el sistema IPS

Para sacar provecho del sistema de prevención de intrusos, deberá configurar uno o varios "Filtros IPS" dentro de las reglas de firewall de su máquina virtual.

Qué hacer en caso de un ataque

  • Si ve que aparecen, alertas, ataques u otros mensajes de actividad sospechosa en la base de datos de Snortby, lo primero es identificar la dirección IP origen del ataque.
  • La interfaz de Snorby provee un enlace hacia un website donde se explica la regla que se disparó.
  • Si ha confirmado que no se trata de un falso positivo, puede ser interesante bloquear la dirección IP del atacante utilizando la Lista Negra del Firewall.
  • Nuestro equipo de soporte puede ayudar, pero tenga en cuenta que si requiere soporte específico sobre Snort, debe adquirir una suscripción.

Otros idiomas